pfSense是一款基于FreeBSD的免費開源防火墻和路由器軟件的發(fā)行版。它主要作用是提供企業(yè)級網(wǎng)絡(luò)安全和路由功能，使其成為家庭網(wǎng)絡(luò)、小型企業(yè)和大型企業(yè)的熱門選擇。

核心功能

?防火墻和路由器功能：實施狀態(tài)數(shù)據(jù)包檢測(SPI)和NAT。

?VPN支持:支持OpenVPN、IPsec和WireGuard安全遠程訪問。

?流量整形(QoS):確定關(guān)鍵應(yīng)用的帶寬使用優(yōu)先級。

?入侵檢測和預(yù)防:集成Snort和Suricata進行安全監(jiān)控。

?DNS和DHCP管理:充當(dāng)DNS解析器和DHCP服務(wù)器。

?高可用性和負載平衡:確保冗余并有效分配網(wǎng)絡(luò)流量。

?強制網(wǎng)絡(luò)門戶和認證:適用于公共網(wǎng)絡(luò)和訪客Wi-Fi管理。

重要提示: pfSense在基于ARM的架構(gòu)上沒有得到官方支持，這意味著您需要依靠虛擬化(例如QEMU)來讓它工作

為什么要在Raspberry Pi上使用pfSense？

定制化和靈活性

pfsense的開源特性允許定制腳本、包和集成。

除了pfSense之外， Raspberry Pi還支持其他網(wǎng)絡(luò)工具，如Pi-hole、WireGuard和OpenVPN。

可配置用于物聯(lián)網(wǎng)安全、家庭網(wǎng)絡(luò)保護或小型辦公室VPN。

小型網(wǎng)絡(luò)的輕量級路由和防火墻

可用于基本的網(wǎng)絡(luò)安全、DNS過濾和流量整形。

在家庭自動化和智能家居安全等低流量環(huán)境中工作良好。

支持VPN設(shè)置來安全地連接遠程設(shè)備。

備份防火墻和網(wǎng)絡(luò)故障轉(zhuǎn)移

萬一主防火墻出現(xiàn)故障，可以充當(dāng)輔助或備用防火墻。

適用于緊急情況或測試網(wǎng)絡(luò)中的快速部署。

在需要輕量級解決方案的邊緣網(wǎng)絡(luò)場景中工作良好。

需要考慮的限制

性能限制–Raspberry Pi的ARM處理器和有限的RAM可能會與高吞吐量網(wǎng)絡(luò)相沖突。

有限的網(wǎng)絡(luò)端口–雙接口設(shè)置需要USB轉(zhuǎn)以太網(wǎng)適配器。

虛擬化開銷——在QEMU或另一個虛擬機上運行pfSense將使用額外的系統(tǒng)資源。

不適合企業(yè)使用–最適合小型應(yīng)用，而不是大型應(yīng)用

真實世界的場景

家庭網(wǎng)絡(luò)防火墻和安全性

您希望保護您的家庭網(wǎng)絡(luò)免受網(wǎng)絡(luò)威脅，管理帶寬使用，并阻止不需要的流量。

小型企業(yè)和遠程辦公室網(wǎng)絡(luò)

小型辦公室或遠程工作人員需要安全且經(jīng)濟高效的防火墻來保護敏感數(shù)據(jù)并允許遠程訪問。

學(xué)習(xí)和網(wǎng)絡(luò)安全培訓(xùn)

實驗室網(wǎng)絡(luò)安全學(xué)生或IT專業(yè)人員需要一個真實的環(huán)境來測試防火墻規(guī)則、VPN設(shè)置和網(wǎng)絡(luò)安全。

物聯(lián)網(wǎng)和智能家庭網(wǎng)絡(luò)

保護用戶擁有多臺物聯(lián)網(wǎng)設(shè)備(智能鎖、攝像頭、恒溫器)，出于安全原因，他希望將這些設(shè)備從主網(wǎng)絡(luò)中隔離出來。

面向訪客Wi-Fi的低成本強制網(wǎng)絡(luò)門戶

一家小企業(yè)(咖啡館、Airbnb、聯(lián)合辦公空間)希望為安全的訪客Wi-Fi提供登錄頁面和帶寬控制。

面向偏遠地區(qū)的邊緣網(wǎng)絡(luò)

農(nóng)村地區(qū)的小型辦公室或社區(qū)網(wǎng)絡(luò)需要基本的網(wǎng)絡(luò)功能，而不需要昂貴的硬件。

在Raspberry Pi上運行pfSense的挑戰(zhàn)

由于pfSense不能本地運行，它需要一個使用QEMU、VirtualBox或類似工具的虛擬機(VM)。

QEMU仿真是資源密集型的，減少了網(wǎng)絡(luò)任務(wù)的可用CPU能力。

在Raspberry Pi操作系統(tǒng)上虛擬化pfSense會增加設(shè)置和維護的復(fù)雜性。

硬件與軟件要求

硬件:

Raspberry Pi 5 (8GB/16GB RAM)(重要提示:性能更佳)。

存儲:16GB/32GB microSD卡(10級或更高級)。

網(wǎng)絡(luò):至少一個額外的USB轉(zhuǎn)以太網(wǎng)適配器。

電源:官方Raspberry Pi 5V/3A (USB-C)電源適配器。

軟件:

64位Raspberry Pi操作系統(tǒng)(基于Debian)。

pfSense ISO圖片:從官方網(wǎng)站獲取最新的pfSense社區(qū)版(CE) ISO，選擇x86_64架構(gòu)(因為我們正在使用虛擬化)。

虛擬機管理器:QEMU(輕量級，最適合Raspberry Pi操作系統(tǒng))

步驟指南

1.準(zhǔn)備Raspberry Pi:安裝和配置Raspberry Pi操作系統(tǒng)，啟用SSH

安裝Raspberry Pi OS:https://www.sunfounder.com/blogs/news/raspberry-pi-operation-system-complete-guide-to-versions-features-and-setup

啟動SSH:https://www.sunfounder.com/blogs/news/mastering-remote-control-unlocking-the-power-of-ssh-with-raspberry-pi

2.設(shè)置虛擬機:打開終端并運行:

sudo aptupdate&&sudo apt upgrade-ysudo apt install qemu-system-x86 qemu-utils bridge-utils-y

我們需要創(chuàng)建一個虛擬硬盤來安裝pfSense。

qemu-img create -f qcow2 pfsense.qcow28G

3.使用pfSense ISO啟動虛擬機

運行以下命令在QEMU中啟動pfSense安裝程序:

qemu-system-x86_64 \ -m2048\ -smp2\ -hda pfsense.qcow2 \ -cdrom pfSense-*.iso \ -boot d \ -net nic -net user \ -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no\ -vga std

參數(shù)說明:

-m 2048 → 分配2GB RAM給pfSense(根據(jù)可用內(nèi)存進行調(diào)整)。

-smp 2 → 分配2個CPU內(nèi)核以獲得更好的性能。

-hda pfsense.qcow2 → 使用之前創(chuàng)建的8GB虛擬磁盤。

-cdrom pfSense-*.iso → 加載pfSense ISO進行安裝。

-boot d →從光盤啟動(用于安裝)。

-net nic -net user → 創(chuàng)建基本虛擬網(wǎng)絡(luò)。

-net nic,model=virtio

-net tap,ifname=tap0,script=no,downscript=no → 創(chuàng)建虛擬網(wǎng)橋。

4.安裝pfSense:帶截圖的分步指南

使用默認配置并選擇安裝pfSense的磁盤。

5.在終端中再次運行虛擬機

qemu-system-x86_64 -m2048-smp2-hda pfsense.qcow2 -boot d -net nic -net user -net nic,model=virtio -net tap,ifname=tap0,script=no,downscript=no-vga std

6.虛擬機運行后:在另一臺設(shè)備上打開web瀏覽器。輸入http://192.168.1.1(默認pfSense LAN IP)。

登錄使用：1. 用戶名: admin 2. 密碼: pfsense

高級配置

分割隧道(選擇性流量路由)

僅允許特定流量通過VPN，而其他流量使用正常的internet連接。減少帶寬使用，提高非VPN應(yīng)用程序的速度。

多用戶WireGuard VPN(多對端)

允許多個用戶(家庭、團隊、遠程工作人員)同時連接到VPN。非常適合企業(yè)、共享訪問或多種設(shè)備。

用于更改公共IP的動態(tài)域名系統(tǒng)(DDNS)

即使您的ISP經(jīng)常更改您的公共IP，也允許VPN客戶端連接。如果沒有靜態(tài)公共IP，這是必不可少的。

站點到站點VPN(連接兩個網(wǎng)絡(luò))

通過WireGuard VPN連接兩個不同的網(wǎng)絡(luò)(例如，家庭和辦公室)。安全地訪問遠程網(wǎng)絡(luò)資源(文件共享、打印機、服務(wù)器)。

運行多個VPN

同時允許您同時連接到多個VPN提供商(例如，一個用于工作，一個用于個人使用)。對于分離不同VPN服務(wù)之間的流量非常有用。

VLAN分段(物聯(lián)網(wǎng)和訪客網(wǎng)絡(luò)的安全VPN)

您可能不希望VPN用戶訪問家庭網(wǎng)絡(luò)上的所有設(shè)備。VLANs允許您隔離流量。

VPN設(shè)置(WireGuard)

1.轉(zhuǎn)到:系統(tǒng)>軟件包管理器>可用軟件包。

2.搜索“WireGuard”，然后點按“安裝”。

3.安裝后，轉(zhuǎn)到VPN > WireGuard。

2.1創(chuàng)建一個WireGuard隧道(VPN服務(wù)器)

(1).轉(zhuǎn)到:VPN > WireGuard > Tunnels

(2).單擊+添加Tunne。

(3).配置以下設(shè)置:

o啟用(選中)

o描述:WireGuard VPN服務(wù)器

o監(jiān)聽端口:51820(默認WireGuard端口)

o接口密鑰:單擊生成(創(chuàng)建一個私有/公共密鑰對)。

oTunnel 地址:192.168.1.23/24(客戶端的VPN子網(wǎng))。

4.保存并應(yīng)用更改。

2.2將WireGuard指定為網(wǎng)絡(luò)接口

(1).轉(zhuǎn)到Interfaces > Assignments。

(2).添加新的WireGuard接口(wg0)。

(3).將其重命名為WG_VPN，然后保存并應(yīng)用更改。

配置VPN客戶端(對等)

3.1添加對等方(遠程客戶端)

1.轉(zhuǎn)到:VPN > WireGuard >Peers。

2.單擊+添加Peer。

3.配置以下設(shè)置:

o啟用

o描述:客戶端1(筆記本電腦、電話等。)

o公鑰:(暫時留空，我們稍后將在客戶機上生成它)

o允許的IP:192 . 168 . 1 . 100/32(為此客戶端分配一個靜態(tài)IP)。

o Keepalive: 25(防止NAT斷開)。

4.保存并應(yīng)用更改。

重要提示:我們需要允許VPN流量通過pfSense的防火墻。

優(yōu)化RASPBERRY PI上的PFSENSE性能

限制日志記錄以減少SD卡磨損

在pfSense中，轉(zhuǎn)到:System > Advanced > Miscellaneous → Enable "RAM Disk for Logs"

降低CPU使用率

修改QEMU命令以減少負載:taskset -c 1 qemu-system-x86_64

潛在的限制

性能瓶頸

技術(shù)專業(yè)知識要求

要考慮的替代方案

所以關(guān)于樹莓PI上的PFSENSE值不值？

家庭實驗室和學(xué)習(xí)環(huán)境。

基本防火墻和VPN設(shè)置。

適用于小型網(wǎng)絡(luò)的輕型路由器。

?x 高速網(wǎng)絡(luò)(> 500 Mbps)——raspberry pi的虛擬化網(wǎng)絡(luò)限制了吞吐量。

?x 企業(yè)應(yīng)用–與專用pfSense硬件相比，性能有限。

此外，我們建議您使用Raspberry Pi訪問我們的防火墻帖子

結(jié)論

使用虛擬機在Raspberry Pi上設(shè)置pfSense是在預(yù)算有限的情況下探索高級網(wǎng)絡(luò)安全特性的好方法。雖然它可能無法提供專用硬件的性能，但它是家庭實驗室、小型網(wǎng)絡(luò)和學(xué)習(xí)環(huán)境的可行解決方案。在本指南中，我們介紹了安裝、性能優(yōu)化和WireGuard VPN等高級配置的基本步驟。盡管存在虛擬化開銷和硬件限制等限制，但這種設(shè)置為網(wǎng)絡(luò)安全提供了一個靈活且經(jīng)濟實惠的切入點。對于要求更高的環(huán)境，考慮專用的pfSense設(shè)備可能是更好的選擇。無論如何，這個項目對于任何希望提高自己的網(wǎng)絡(luò)技能和嘗試尖端開源解決方案的人來說都是一次寶貴的經(jīng)歷。

原文鏈接：

https://www.sunfounder.com/blogs/news/raspberry-pi-pfsense-using-a-vm-complete-guide-to-building-a-virtual-firewall